A DNS-ről
Ahhoz, hogy megértsük a DNSSEC-et, (Domain Name System Security Extension) tisztában kell lennünk azzal, hogy hogyan működik maga a DNS (Domain Name System) rendszer.
A DNS önmagában annyit tesz, hogy lefordítja a weboldalak domain nevét numerikus kóddá, amely adatokat aztán a számítógépek hatékonyan olvasnak és feldolgoznak. (Például: 104.16.99.56) Ez lesz gyakorlatilag a weboldal IP címe. Minden IP címhez tartozik egy domain név, ezért a DNS rendszert gyakran nevezik az internet telefonkönyvének is. Ezeket az adatokat domainnév-szervereken tárolják, ahol a domain név IP címmé fordítása (és vica versa) ugyancsak megtörténik.
Amikor a DNS először megjelent, nem minden működött a legnagyobb rendben és hamar kiütköztek a gyengepontjai. És itt jön képbe a DNSSEC: ahhoz, hogy a hibákat kiküszöböljék, egy biztonsági rendszert kezdtek fejleszteni, amelyet kiegészítőként a DNS rendszerekhez lehet csatolni.
Hogyan is működik a DNSSEC?
A DNSSEC alapvető célja a DNS-ben lévő adatok integritásának és autentikusságának biztosítása. Ez azt jelenti, hogy védi az internetes klienseket a hamisított DNS adatoktól azáltal, hogy átvizsgál és megerősít egy úgynevezett digitális, DNS-be ágyazott „kézjegyet”.
A DNSSEC így biztosítja, hogy a felhasználó valóban azzal az oldallal lépjen kapcsolatba, amelyikkel szeretett volna.
A DNSSEC egy úgynevezett nyilvános kulcs rendszert alkalmaz, hogy felülvizsgálja az adatokat úgy, hogy a már meglévő DNS rekordokhoz további rekordokat csatol. Ezek az új rekordok végzik a domain digitális aláírását.
Az így aláírt névkiszolgáló már rendelkezik nyilvános és privát kulccsal is. Ha valaki be kíván lépni, privát kulcsokon keresztül küld információkat, amit a címzett a nyilvános kulccsal aztán felold. Ha harmadik személytől származó adat érkezik be, ami nem egyezik a nyilvános kulccsal, a címzett azt nem oldja fel.
A DNSSEC által használt kulcsok
A DNSKEY-ben található kulcsokat két különböző célra használják:
- Key Signing Key (KSK-kulcs aláíró kulcs) feladata a zóna aláíró kulcsok aláírása
- Zone Signing Key, (ZSK-zóna aláíró kulcs) ezzel az egyes rekordokat írják alá
A DS (Delegation Signer) rekord áttekintése
A DS rekord a nyilvános kulcs egy egyedi szálát tartalmazza, valamint metaadatokat a kulcsról, például azt, hogy milyen algoritmusokat használ. Nézzünk egy példát:
valami.com 4200 IN 2472 13 2 16e637262zt822dafs828737sjjd2671jsym6172…
Most bontsuk külön komponensekre a DS rekordot, és vizsgáljuk meg, mit tartalmaz egy-egy rész!
- Valami.com – ez maga a domain név
- 4200 – (TTl: Time To Live) azaz a rekord élettartama
- IN – magára az internetre utal
- 2472 – Key Tag (azaz kulcscímke) a kulcs azonosítója
- 13 – Az algoritmus típusa
- 2 – A kivonat típusa
- A hosszú sor a cím végén pedig a nyilvános kulcs kivonata